Время Привязки К Ip Призрака Наличия Там Шифрованного Клиента

[Yura]

Ой, не понял как такая тема получилась

Правильно будет "Время привязки к ip признака наличия на нём шифрованного клиента".

Здравствуйте.

Сервер (он же контроллер домена, он же dhcp) выдаёт адреса клиентам. Клиенты могут быть c vipnet client, так и без.

Если випнет на сервере установил связь, что на определенном ip был vipnet клиент, то в дальнейшем ждёт и готов обмениваться с этим ip только шифрованным трафиком.

Проблема начинается когда этот "грязный" адрес получает клиент без випнета. В результате связи (по правилам открытой сети) нет. Конкретно мне нужен от сервера dns.

Вопрос: существует ли таймаут, после которого vipnet клиент "забудет" привязку ip к статусу "надо шифровать"?

Если существует, возможно ли его регулировать?

Какие потенциальные проблемы могло бы вызвать уменьшение этого таймаута, скажем до 1 часа?

Спасибо.

[Echo]

Надо подумать, прошу написать запрос в техподдержку, желательно нарисовать схему, где какой Клиент с ViPNet и без, где сервер. Возможно, будет предложение не ставить Клиента на сервер, а протуннелировать его.Но это пока только предположение. > Если випнет на сервере установил связь, что на определенном ip был vipnet клиент, то в дальнейшем ждёт и готов обмениваться с этим ip только шифрованным трафиком.

- по идее, как только у клиента, который зарегистрирован на сервере как защищенный, сменится адрес и об этом узнает Клиент сервера DHCP.

[Echo]

Извиняюсь за ожидание. Да, такая проблема может быть, до тех пор, пока Клиент с "протухшим адресом" не получает в аренду новый адрес и не связывается с Координатором, предыдущий адрес остается зарегистрированным на Клиенте Сервера для него, а значит открытый узел, который его получил, не свяжется с сервером. Пока хорошего решения как избежать проблемы нет, кроме предложения развести пулы адресов, которые может получить защищенный и открытый компьютер (если такое возможно), так как сложно надеяться, что Клиенты будут регулярно включены и доступны Координатору для регистрации за ними нового адреса. Можно попробовать рассмотреть вариант с изменением схемы за счет туннелирования сервера- смысл которого в том, что открытые компьютеры получат адрес по открытому каналу, а защищенные - по защищенному. Но без знания общих требований к организации доступа правильный совет дать трудно.

[LexDlx]

Вяжи адреса к макам. Больше тебе и что не поможет.

[Yura]

Остановился на таком обходном решении проблемы.

Для этого правда пришлось развернуть отдельный DHCP сервер на базе Windows 2012, так как в используемом ранее 2008R2 функциональности назначения адресов из определенного диапазона в зависимости от DHCP класса.

1) На рабочих станция с Vipnet выполняем (вручную или логин скриптом)

ipconfig /setclassid "Подключение по локальной сети" vipnet

2) На DHCP сервере "Определить классы пользователей" - "Добавить" - ввести название випнет и в ASCII данные ввести vipnet

3) В нужной области добавить политику в зависимости от имени класса пользователя = "vipnet" и в ней назначить диапазон адресов для машин с випнетом.